Total Pageviews

Thursday, 9 February 2012

让局域网中的机器访问互联网能兼顾速度与安全

网络访问究竟是要速度,还是保安全? 一直以来都困扰着网络管理员。事实上,在局域网工作环境中,那些没有存储重要数据信息以及文件资料的普通工作站在通过局域网网络访问Internet网络 时,可以尝试使用UPnP功能、虚拟转发、DMZ功能、触发端口等多种技术来让Internet网络访问兼顾速度与安全;通过这样的技术,我们既能保证局 域网中的普通工作站可以高速顺畅地访问Internet网络中的内容,又能在一定程度上“护驾”普通工作站系统的上网安全,以避免它们遭遇来自 Internet网络病毒与木马的非法袭击。
使用UPnP功能,保证网络速度与安全
所谓UPnP功能,其实就是通用即插即用功能,这种功能是在TCP/IP协议的基础上开发、制定的针对设备相互通讯的新Internet协议,这种 协议常用于对等网络连接结构,在办公和个人应用中比较受欢迎。UPnP功能以HTTP、TCP/IP标准和XML技术为基础,使相关的应用程序和网络设备 自动借助端口映射功能彼此能够自动连接,并且能够自动进行协同工作,从而使网络访问操作变得更快捷、简便。UPnP功能支持任意两个网络设备之间的信息通 讯,支持UPnP功能的网络设备能够方便地动态加入到指定的网络中,并能自动获得IP地址。
要正常使用UPnP功能时,我们先要将本地Windows的UPnP功能启用起来;在Windows XP系统环境下启用UPnP功能时,我们可以依次单击系统桌面中的“开始”/“设置”/“控制面板”菜单选项,打开对应系统的控制面板窗口,用鼠标双击其 中的“添加或删除程序”功能选项,进入添加或删除程序列表界面;
用鼠标单击该列表界面中的“添加/删除Windows组件”选项卡,当屏幕上出现Windows组件安装向导对话框时,从该对话框中选中“网络服 务”选项,同时单击该选项下面的“详细信息”按钮,打开对应系统的网络服务组件列表框,看看“UPNP用户界面”项目此时有没有被选中,如果发现它还没有 被选中时,我们只要重新选中它,再单击“确定”按钮执行保存操作,这样的话Windows XP系统内置的UPNP功能就能被启用成功了。
一旦本地系统的UPNP功能被启用好后,我们再设置一下局域网路由器,以便让其也能够支持UPNP功能。通常情况下,路由器设备都具有UPNP功能,不过该功能在默认状态下并不会自动启用,我们可以尝试按照下面的操作来将该功能启用起来:
首先运行IE浏览器程序,在对应浏览窗口的地址框中输入路由器设备缺省的后台管理地址,之后输入该设备的后台管理员账号,打开路由器设备的后台管理界面;
在对应配置页面中单击“路由”选项卡,打开路由参数设置页面,点选其中的“转发”选项卡,在其后出现的选项设置页面中单击“启用UPNP”按钮,最后记得执行保存操作,并重新启动一下路由器设备,那样的话路由器自带的UPNP功能也被成功打开了。
使用虚拟转发,保证网络速度与安全
对于应用层来说,虚拟服务器其实是通过转发技术实现网络访问目的的,它的作用与我们平时提到的局域网代理服务器几乎相同;对于网络访问者来说,虚拟 服务器实际上可看成是一台普通的上网工作站,它有单一的网络访问入口点;对于局域网网络来说,虚拟服务器其实是整个局域网访问外部网络或Internet 网络的唯一出口,局域网中的所有工作站都可以为它服务。
局域网网络通过宽带路由器访问外部网络时,为安全起见,网络管理员往往都会在宽带路由器设备中启用网络防火墙功能,那样一来外部网络或 Internet网络中的普通工作站要想通过宽带路由器访问局域网内部的某些资源服务器时,在缺省状态下是无法通过防火墙保护的。这时就发生了矛盾,宽带 路由器的防火墙功能虽然有效保护了局域网网络不被非法攻击,但是又影响了外部网络的合法、高速访问,而巧妙地使用虚拟服务器,往往可以让网络访问同时兼顾 速度与安全,因为虚拟服务器常常能够允许用户自行定义一个网络服务端口,所有连接访问该端口的外部网络服务请求都能够被重新定位转发到局域网内部的特定工 作站或服务器上,如此一来外部网络或Internet网络中的普通工作站就能高速地访问到局域网内部的特定工作站或服务器了,这个网络访问过程并不会影响 局域网网络的运行安全性。
要是我们希望外部网络的工作站只能通过21端口访问IP地址为10.176.6.12的FTP服务器时,我们可以先以系统管理员身份进入路由器的后 台管理界面,单击“添加新条目”按钮,从“常用服务端口号”下拉列表中找到FTP服务,并将该服务选项选中,接着再为这个访问条目设置好目标服务器的IP 地址,同时将该设置条目的工作状态修改为“生效”,最后执行保存操作,如此一来外部网络的普通工作站日后只能通过虚拟服务器间接访问局域网内部的指定 FTP服务器,而不会直接访问到局域网网络了。
使用端口触发,保证网络速度与安全
我们知道,在局域网宽带路由器中我们可以使用防火墙功能,来将一些非法的数据信息包过滤掉,在普通的工作站系统中我们也可以安装设置防火墙程序,来 保护本地工作站系统访问网络的安全。然而在实际访问网络的过程中,一些特殊的网络应用可能要与Internet网络同时建立多个网络连接,比方说网络电话 连接、Internet网络游戏连接以及视频会议连接等。不过,考虑到防火墙程序的启用,这些特殊的网络应用可能无法简单地在路由器的NAT方式下工作。
为了保证这些特殊应用能够穿过防火墙的限制,顺利地访问外部网络,我们可以尝试通过端口触发的方式来让这些特殊应用正常工作于NAT路由器下。当某 个网络应用程序向路由器的触发端口上发起网络连接时,那么相关的所有开放网络端口都会自动处于打开状态,如此一来后续网络连接就能被成功创建,那样一来这 些特殊应用就能穿过防火墙限制了。
通常状态下,目前市面上使用的宽带路由器都支持端口触发功能。在设置宽带路由器的端口触发参数时,我们必须根据特殊应用访问网络时所使用到的协议来 正确选用合适的触发协议,例如我们可以选用UDP、TCP或ALL,要是我们不清楚特殊应用究竟采用了哪种通信协议时,我们不妨将触发协议设置成ALL。
当特殊网络应用向路由器的触发端口上成功发起网络连接后,对应的所有开放端口也会处于打开状态,此时该网络应用就能向该开放的通信端口发起后续的网络连接。
使用DMZ功能,保证网络速度与安全
所谓DMZ功能,其实就是我们常说的非军事区功能,这个功能与军事区、信任区功能相对应,借助该功能我们可以把那些允许Internet网络访问的 WEB服务器、电子邮件服务器等单独接入到非军事区端口,而将局域网中的其他服务器以及普通工作站接在军事区端口,那样一来来自Internet网络的任 意一台工作站将无法访问到局域网内网,但可以访问到连接在DMZ区域的WEB服务器、电子邮件服务器,从而实现了内网、外网逻辑分离的目的,保证了局域网 网络的访问安全。
DMZ区域可以理解成一个完全不同于内网、外网的中间网络区域,连接到这个区域的各种服务器往往不包含重要的隐私信息以及机密信息,而是专门供公众 访问的一些公用信息,比方说普通网站信息、电子邮件信息等。这样,来自Internet网络的普通工作站都能正常访问到DMZ区域中的各种服务,不过无法 访问到保存在局域网内部的机密信息,即使连接到DMZ区域中的重要服务器发生了故障,局域网内部也不会受到安全攻击。
在设置DMZ主机时,我们只要先进入到局域网路由器的后台管理界面,从中找到DMZ参数设置选项,然后将DMZ主机的IP地址设置为那台局域网内目标服务器的IP地址,再选中“启用”选项,同时执行保存操作就可以了。

No comments:

Post a Comment